Les pirates étaient déjà à l'intérieur du bureau : Pourquoi les utilisateurs de Citrix doivent agir maintenant

Par Max van der Linden, spécialiste principal de la sécurité

Imaginez votre immeuble de bureaux. La porte d'entrée est équipée d'une serrure électronique et un agent de sécurité est présent à l'accueil. Tous les employés passent leur badge, les visiteurs s'enregistrent et tout semble sûr.

Mais il y a quelques mois, quelqu'un a découvert une faille dans la serrure de la porte d'entrée. Elle a ainsi pu entrer et sortir librement du bâtiment. Pendant qu'ils étaient à l'intérieur, ils ont eu la possibilité de construire des tunnels secrets menant au sous-sol, d'ouvrir une fenêtre latérale dans le bureau de la sécurité et peut-être même de placer des microphones dans les salles de réunion.

C'est ce qui se passe actuellement avec les dispositifs Citrix NetScaler.

L'effraction

Votre NetScaler est la porte d'entrée sécurisée pour les employés qui se connectent à distance. Il est censé être le seul moyen sûr d'entrer dans le bâtiment depuis l'extérieur.

La vulnérabilité CVE-2025-6543 est un problème avec la serrure qui permet aux attaquants d'entrer sans glisser un badge.

Il est ainsi possible de

• d'installer des web-shell, ce qui revient à construire un tunnel secret au cas où la serrure serait réparée mais que l'attaquant voudrait toujours entrer.
• d'effacer les journaux des visiteurs afin que la sécurité ne sache pas qu'ils sont passés par là.

En outre, d'autres problèmes ont été corrigés récemment :

• CVE-2025-5777, c'est comme avoir un classeur caché dans le hall d'entrée qui laisse échapper des notes de réunions privées et des clés maîtresses à quiconque sait où regarder.
• CVE-2025-5349 équivaut à laisser la porte de la salle de contrôle déverrouillée pour que n'importe qui puisse s'y faufiler et manipuler les systèmes du bâtiment.

Voici la solution

Citrix a maintenant remplacé la serrure défectueuse, retiré le classeur et verrouillé à nouveau la porte de la salle de contrôle, mais un attaquant aurait pu se trouver à l'intérieur des mois auparavant.

Même si vous avez changé la serrure le premier jour de la réparation, les tunnels, les entrées cachées et les fenêtres non verrouillées peuvent toujours être là.

Ce qu'il faut faire

1. Remplacez la serrure avant

Installez les dernières mises à jour de sécurité de Citrix. Si votre porte d'entrée est toujours munie de l'ancienne serrure, les intrus peuvent encore entrer.

2. Faites évacuer le bâtiment

Obligez tout le monde à quitter le bâtiment et demandez-leur de montrer leur badge d'entrée s'ils veulent revenir. Dans NetScaler, cela signifie qu'il faut courir :

kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions

3. Recherche de tunnels et d'entrées cachées

• Utilisez les outils d'analyse du NCSC néerlandais pour trouver les fichiers cachés et les portes dérobées : https://github.com/NCSC-NL/citrix-2025
• Vérifiez chaque "étage" (répertoire système) pour y trouver des éléments qui ne devraient pas s'y trouver.
• Recherchez les nouvelles "clés maîtresses" (comptes d'administrateur) que vous n'avez pas créées.

4. Changez toutes les clés et tous les codes d'alarme

• Réinitialisez tous les mots de passe des administrateurs
• Rééditez les jetons et les certificats VPN.

5. Sécurisez la salle de contrôle

• Maintenez le panneau de gestion NetScaler à l'écart de l'internet ouvert.
• N'autorisez l'accès qu'à partir d'une liste restreinte d'origines (adresses IP) fiables.

6. Surveillez les caméras

• Activez la journalisation complète
• Surveillez les passages inhabituels de badges (connexions), les heures bizarres ou les modifications apportées aux systèmes du bâtiment.

Si vous constatez un comportement inhabituel, si vous découvrez un tunnel caché ou si vous avez besoin d'aide. Contactez nos représentants commerciaux à l'adresse cybersecurity@bureauveritas.com.

La vraie leçon

Il ne s'agit pas seulement de changer la serrure de la porte d'entrée. Il s'agit de trouver et de fermer toutes les entrées secrètes que l'intrus a laissées derrière lui. Si vous vous contentez de changer la serrure et de vous en aller, il se peut que quelqu'un se trouve encore au sous-sol, branché sur votre câblage, attendant le bon moment pour frapper.

SOURCES :

https://thehackernews.com/2025/08/dutch-ncsc-confirms-active-exploitation.html
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420&artic%5B%E2%80%A6%5Dteway_Security_Bulletin_for_CVE_2025_5349_and_CVE_2025_5777=